Stuxnetとは何か?
Stuxnetは、もともとはイランの核施設を狙ったコンピュータ・ワームであり、その後変異して他の産業施設やエネルギー生産施設に広がっている。オリジナルのStuxnetマルウェア攻撃は、機械プロセスの自動化に使用されるプログラマブル・ロジック・コントローラ(PLC)を標的としていた。2010年に発見された後、ハードウェアを麻痺させることができる最初の既知のウイルスであったことと、米国家安全保障局(NSA)、CIA、イスラエルの諜報機関によって作成されたと思われたことから、メディアの注目を集めた。
スタックスネット・ワームは何をしたのか
Stuxnetは、イランのナタンツ・ウラン濃縮施設にある多数の遠心分離機を焼損させて破壊したと伝えられている。時間が経つにつれ、他のグループは、浄水場、発電所、ガス管などの施設を標的にするためにウイルスを修正した。
スタックスネットは、USBスティックで移動し、マイクロソフト・ウィンドウズのコンピューターを通じて拡散するマルチパーツ・ワームだった。このウイルスは、感染した各 PC にシーメンスの Step 7 ソフトウェアの痕跡がないかを探します。PLCコンピュータを見つけると、マルウェア攻撃はインターネット経由でコードを更新し、そのPCが制御する電気機械装置に損害を与える命令を送り始めた。同時に、ウイルスはメインコントローラーに偽のフィードバックを送信した。機器を監視していた人は、機器が自己破壊を始めるまで、問題の兆候を知ることはできなかっただろう。
Stuxnet の遺産
Stuxnetの製造元は2012年6月にプログラムが終了し、シーメンス社は同社のPLCソフトウェアに対して修正プログラムを発行したと報告されていますが、Stuxnetの遺産は、オリジナルのコードに基づく他のマルウェア攻撃においても生き続けています。Stuxnet の息子たち」には、次のようなものがあります。
- Duqu(2011年)。StuxnetのコードをベースとしたDuquは、キー入力を記録し、産業施設からデータを収集するよう設計されていました。
- Flame(2012年)。Stuxnetと同様、FlameはUSBメモリ経由で移動しました。Flameは洗練されたスパイウェアで、Skypeの会話を録音したり、キー入力を記録したり、スクリーンショットを収集したりした。主にイランやその他の中東諸国の政府機関や教育機関、そして一部の個人を標的としていました。
- Havex(2013年). Havexの目的は、エネルギー、航空、防衛、製薬会社などから情報を収集することでした。Havexマルウェアは、主に米国、欧州、カナダの組織を標的としていました。
- Industroyer(2016年)。これは電力施設を標的としていた。2016年12月にウクライナで停電を引き起こしたことで知られています。
- Triton(2017年)。これは中東の石油化学プラントの安全システムを標的にしたもので、マルウェア製作者が作業員に物理的な傷害を負わせる意図を持っているのではないかという懸念を抱かせました。
- 直近(2018年). 2018年10月、Stuxnetの特徴を持つ無名のウイルスが、イランの不特定のネットワークインフラを攻撃したと報じられた。
一般のコンピューター・ユーザーがこうしたStuxnetベースのマルウェア攻撃を心配する理由はほとんどないが、電力生産、電力網、防衛など、さまざまな重要産業にとっては大きな脅威であることは明らかだ。恐喝はウイルスメーカーの共通の目標だが、Stuxnetファミリーのウイルスはインフラを攻撃することに関心があるようだ。
How to protect industrial networks against malware attacks
Good IT security practices are always useful in preventing malware attacks. These practices include regular patches and updates, strong passwords, password management, and identification and authentication software. Two important practices that might have helped protect against Stuxnet are virus scanning (or banning) of all USB sticks and other portable media, and endpoint security software to intercept malware before it can travel over the network. Other practices for protecting industrial networks against attacks include the following:
- Separate the industrial networks from general business networks with firewalls and a demilitarized zone (DMZ)
- Closely monitor machines that automate industrial processes
- Use application whitelisting
- Monitor and log all activities on the network
- Implement strong physical security for access to industrial networks, including card readers and surveillance cameras
Finally, organizations should develop an incident response plan to react quickly to problems and restore systems quickly. Train employees using simulated events and create a culture of security awareness.